這期內(nèi)容當中小編將會給大家?guī)碛嘘P(guān)怎么進行openssl 拒絕服務(wù)漏洞分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創(chuàng)新互聯(lián)公司是一家專注于成都做網(wǎng)站、成都網(wǎng)站制作與策劃設(shè)計,穆棱網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:穆棱等地區(qū)。穆棱做網(wǎng)站價格咨詢:18980820575

0x00 漏洞背景

2020年04月21日， 360CERT監(jiān)測發(fā)現(xiàn) openssl 官方發(fā)布了 TLS 1.3 組件拒絕服務(wù)漏洞 的風險通告，該漏洞編號為 CVE-2020-1967，漏洞等級：高危。

openssl 是一個開放源代碼的軟件庫包，應(yīng)用程序可以使用這個包來進行安全通信。這個包廣泛被應(yīng)用在互聯(lián)網(wǎng)的網(wǎng)頁服務(wù)器上。其主要庫是以C語言所寫成，實現(xiàn)了基本的加密功能，實現(xiàn)了SSL與TLS協(xié)議。openssl可以運行在OpenVMS、 Microsoft Windows以及絕大多數(shù)類Unix操作系統(tǒng)上（包括Solaris，Linux，MacOS與各種版本的開放源代碼BSD操作系統(tǒng)）。

TLS(Transport Layer Security) 是一種安全協(xié)議，目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。在瀏覽器、電子郵件、即時通信、VoIP、網(wǎng)絡(luò)傳真等應(yīng)用程序中都廣泛支持這個協(xié)議。該協(xié)議當前已成為互聯(lián)網(wǎng)上保密通信的工業(yè)標準。

openssl 存在 拒絕服務(wù)漏洞，攻擊者 通過 發(fā)送特制的請求包，可以造成 目標主機服務(wù)崩潰或拒絕服務(wù)

對此，360CERT建議廣大用戶及時安裝最新補丁，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞的評定結(jié)果如下

0x02 漏洞詳情

官方描述

服務(wù)端或客戶端程序在 SSL_check_chain() 函數(shù)處理TLS 1.3握手前后?？赡軙|發(fā)空指針解引用，導(dǎo)致錯誤處理 tls 擴展 signature_algorithms_cert。當服務(wù)端或客戶端程序收到一個無效或無法識別的簽名算法時可能會引發(fā)崩潰或拒絕服務(wù)漏洞。

0x03 影響版本

• openssl：1.1.1d

• openssl：1.1.1e

• openssl：1.1.1f

0x04 修復(fù)建議

通用修補建議：

升級到 1.1.1g 版本，下載地址為：
https://www.openssl.org/source/

1.0.2及之前版本的用戶不受該漏洞影響，但此類版本已經(jīng)失去支持，建議用戶升級到 1.1.1g

0x05 相關(guān)空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪，發(fā)現(xiàn) openssl 在全球均有廣泛使用，具體分布如下圖所示。

0x06 產(chǎn)品側(cè)解決方案

360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)

360安全大腦的QUAKE資產(chǎn)測繪平臺通過資產(chǎn)測繪技術(shù)手段，對該類 漏洞 進行監(jiān)測，請用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負責人獲取對應(yīng)產(chǎn)品。

上述就是小編為大家分享的怎么進行openssl 拒絕服務(wù)漏洞分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。